SAP 구현을 계획할 때 다음 사항을 결정하기 위해서는 Google Cloud의 액세스 관리 작동 방식을 이해하는 것이 중요합니다.
- Google Cloud에서 리소스를 정리하는 방법
- 리소스에 액세스하여 작업할 수 있는 팀원
- 리소스 액세스에 대한 최소 권한 원칙을 따르기 위해 각 팀 구성원이 가질 수 있는 정확한 권한
- 서비스 계정을 사용해야 하는 서비스 및 애플리케이션과 각각에 부여하는 권한 수준
Google Cloud의 인증에 대한 대략적인 개요는 인증 개요를 참조하세요.
리소스 계층 및 상속
Cloud Platform 리소스 계층은 Google Cloud의 여러 리소스 컨테이너, 이러한 컨테이너가 서로 연관된 방식, 액세스 범위에 대한 정의가 포함되어 있습니다.
조직 또는 프로젝트와 같은 상위 리소스에 적용된 액세스 제어 정책은 조직 또는 프로젝트에 있는 Compute Engine 가상 머신 또는 Cloud Storage 버킷과 같은 해당 리소스의 하위 항목에 상속됩니다.
Identity and Access Management
Identity and Access Management(IAM)는 Google Cloud 리소스의 통합 권한 제어 기능을 제공합니다. 누가 어떠한 리소스 액세스 수준을 갖는지 정의하여 액세스 제어를 관리할 수 있습니다. 예를 들어 SAP 인스턴스에서 VM, 영구 디스크, 네트워킹의 생성 및 수정과 같은 제어 영역 작업을 수행할 수 있는 사용자를 제어할 수 있습니다.
IAM 서비스 계정을 사용하면 애플리케이션 및 서비스에 권한을 부여할 수 있습니다. Compute Engine에서 서비스 계정이 작동하는 방식을 이해하는 것이 중요합니다. 자세한 내용은 서비스 계정을 참조하세요.
IAM 역할은 사용자에게 권한을 부여합니다. 역할과 각 역할이 부여하는 권한에 대한 자세한 내용은 Identity and Access Management 역할을 참조하세요.
IAM에 대한 자세한 내용은 IAM 개요를 참조하세요.
리소스별 IAM 정보
Compute Engine 리소스와 같이 SAP 시스템에 사용되는 각 리소스에 대해서는 IAM이 리소스에 대한 인증 및 액세스 관리를 구현하는 방법과 IAM이 리소스에 제공하는 사전 정의된 역할을 파악해야 합니다.
SAP 시스템에서 일반적으로 사용하는 일부 리소스가 IAM을 구현하는 방법은 다음 항목을 참조하세요.
- BigQuery 사전 정의된 역할 및 권한
- Compute Engine 액세스 제어 옵션
- Deployment Manager 액세스 제어 옵션
- Cloud Logging 액세스 제어 가이드
- Cloud Monitoring 액세스 제어